• El reconocimiento facial, ¿un problema para la protección de datos?

    El reconocimiento facial, ¿un problema para la protección de datos?

    Las técnicas de reconocimiento facial con fines de identificación biométrica suponen un tratamiento de categorías especiales de datos para los que el Reglamento exige garantías reforzadas, según advierte la Agencia Española de Protección de Datos (AEPD).

    El organismo estatal acaba de publicar un informe en el que analiza varias cuestiones que se le han planteado relacionadas con la seguridad privada, entre las que se encuentra la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada.

    En este sentido, la Agencia explica que el empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos, a los que se aplica el Reglamento General de Protección de Datos (RGPD), que los cataloga como categorías especiales al tratarse de datos "dirigidos a identificar de manera unívoca a una persona física". "Esta tecnología supone un tratamiento que, en principio, se encuentra prohibido por el RGPD", añade.

     

    1558455279 966010 1558786615 noticia fotograma 

    Según ha concretado, la instalación de los sistemas de videovigilancia con fines de seguridad, que captan y graban imágenes y sonidos, "podría ampararse en el interés público", tal y como se plantea en la consulta realizada a la Agencia.

    No obstante, ha aclarado que si se tratan categorías especiales de datos, como en el caso de la utilización de tecnologías de reconocimiento facial, la normativa requiere que exista un "interés público esencial" para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados.

    "La aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos el empleo de la biometría respondería al mismo", ha manifestado.

    En este sentido, ha advertido de que "la norma con rango de Ley que ampararía ese tratamiento de categorías especiales de datos no existe en el actual ordenamiento jurídico y, en el caso de tramitarse, tendría que justificar específicamente en qué medida y en qué supuestos la utilización de dichos sistemas respondería a un interés público esencial, así como incorporar garantías específicas como exige el Tribunal Constitucional".

    "PRINCIPIO DE PROPORCIONALIDAD"

    Asimismo, la AEPD ha detallado que "debería cumplir con el principio de proporcionalidad y superar el juicio de necesidad, en el sentido de que no exista otra medida más moderada con la que se consiguiera el mismo propósito con igual eficacia".

    "La existencia de otras medidas que permiten la protección de las personas, bienes e instalaciones con una menor intrusión en el derecho de los afectados, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto de dichas otras medidas, estableciendo asimismo garantías reforzadas", ha remachado.

    De este modo, la Agencia rechaza, tal y como se planteaba en la consulta, que la legitimación reconocida para los sistemas de videovigilancia que sólo captan y graban imágenes y sonidos pueda abarcar otras tecnologías "mucho más intrusivas" para la privacidad como el reconocimiento facial u otras medidas biométricas como el reconocimiento de la forma de andar o el reconocimiento de voz.

    "La regulación actual es insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, al no cumplir los requisitos anteriormente señalados", ha defendido.

    La Agencia considera que existen supuestos excepcionales en los que podría quedar justificado el empleo de sistemas de reconocimiento facial siempre que la legislación lo prevea, como se ha mencionado con anterioridad, como en el caso de infraestructuras críticas.

    "Sin embargo, la autorización, con carácter general, del empleo de sistemas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada carece de base jurídica y sería desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos", ha concluido.

     

    camaravigilancia

     

    #reconocimientofacialmalloca #camarasdeseguridadmallorca #agenciaespañoladeprotecciondedatos #usoinapropiadodeinformacion #protecciondedatos

     

    Fuente: Deia

     

  • LaLiga impugnará judicialmente sanción 250.000€ Agencia Protección de Datos

     

    LaLiga impugnará judicialmente sanción 250.000€ Agencia Protección de Datos

     

    LaLiga impugnará judicialmente la sanción de 250.000 euros que la ha impuesto la Agencia Española de Protección de Datos (AEPD) por una supuesta infracción del principio de transparencia a la hora de informar en la aplicación oficial sobre el uso de la funcionalidad del micrófono en el momento de su activación.

    En un comunicado, LaLiga afirmó que "discrepa profundamente de esta decisión, rechaza la sanción impuesta por injusta, y considera que la AEPD no ha realizado el esfuerzo necesario para entender cómo funciona la tecnología", empleada para detectar emisiones fraudulentas de partidos de fútbol.

    "LaLiga impugnará judicialmente la resolución para demostrar que su actuación ha sido en todo momento conforme a derecho y responsable" y que ha cumplido en todo momento el Reglamento General de Protección de Datos y la Ley Orgánica sobre esta materia.

    La patronal recordó que "la funcionalidad del micrófono esté activa el usuario tiene que otorgar expresa, proactivamente y en dos ocasiones su consentimiento, para lo cual es debida y detalladamente informado", por lo que "no se puede atribuir a LaLiga falta de transparencia o información sobre esta funcionalidad".

    "El funcionamiento de la tecnología ha sido avalado por un informe pericial independiente, que entre otros argumentos favorables a la posición de LaLiga, concluye que esta tecnología no permite que LaLiga pueda conocer el contenido de ninguna conversación ni identificar a sus potenciales hablantes", señaló.

    También destacó que "este mecanismo de control del fraude "no almacena la información captada del micrófono del móvil y la información captada por el micrófono del móvil es sometida en el mismo a un complejo proceso de transformación cuyo resultado es irreversible".

    "Toda esta tecnología se implementó para alcanzar un fin legítimo, que es cumplir con la obligación de LaLiga de velar por la preservación de las condiciones de comercialización y explotación de los derechos audiovisuales. LaLiga no estaría actuando diligentemente si no pusiera todos los medios y tecnologías a su alcance para luchar contra la piratería", insistió.

    Para LaLiga se trata de "una tarea especialmente relevante teniendo en cuenta la enorme magnitud del fraude al sistema de comercialización, que se estima en unos 400 millones de euros anuales aproximadamente".

     

    sancion aepd

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos

    Fuente: Espanol.eurosport

  • ¿Cámaras de vigilancia en el coche? Multas de 1.500 € por temas de privacidad

    ¿Cámaras de vigilancia en el coche? Multas de 1.500 € por temas de privacidad

    Un conductor toledano ha recibido una multa de 1.500 euros por llevar una cámara de vigilancia en el salpicadero: incumplía la ley de protección de datos.

    La instalación de cámaras de vídeo en los coches no es una práctica demasiado extendida entre los conductores españoles, mientras que en otros países, como Rusia, por ejemplo, es bastante habitual con el objetivo de poder demostrar la inocencia del automovilista en caso de accidente o atropello.

    Y es que, aunque pueda sonar extraño, la instalación de este tipo de dispositivos es susceptible de ser sancionado en nuestro país. Un ejemplo de ello es un conductor de Toledo, que ha sido sancionado con 1.500 euros por tener instalada una cámara de vídeo, también conocida como “dashcam” (cámara en el salpicadero) en su vehículo.

    Camaras de seguridad en el coche

    Obteniendo imágenes de espacios públicos

    Según publican varios medios, la sanción ha sido impuesta por la Agencia de Protección de Datos tras una denunciad de la Guardia Civil. Según revela la propia sanción, la multa se debe a que se han “obtenido imágenes de espacios públicos”, algo que es “competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado”.

    La cámara estaba vulnerando la privacidad de los vecinos e incumpliendo el artículo 5.1 c) del Reglamento General de Protección de Datos (RGPD) ya que fue detectada con el coche aparcado y con la cámara orientada hacia la calle, lo que le permitía “controlar espacio público, sin causa justificada”.

    Según el escrito de denuncia, “los particulares son responsables de velar por que los sistemas instalados se ajusten a la legalidad vigente, acreditando que la misma cumpla con todos los requisitos exigidos por la normativa en vigor”.

    ¿Puedo llevar una cámara grabando en el coche?

    Así, una cámara de estas características tendría que utilizarse “con un preceptivo cartel informativo, indicando los fines y el responsable, en su caso, de los datos de carácter personal”. No obstante, “las cámaras deben estar orientadas preferentemente hacia el espacio particular, evitando intimidar a vecinos colindantes con este tipo de dispositivos, así como controlar zonas de tránsito de los mismos sin causa justificada”.

    Fuente: Autocasion

     

  • ¿El colegio puede publicar fotos de mis hijos en Internet?

    Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **

    Hoy en día, la mayoría de los centros educativos tienenpresencia en Internet, y es habitual ver quecomparten en redes sociales fotos y vídeos de sus alumnos, así como que publiquan en su blog o página web las actividades educativas que se llevan a cabo. En la Línea de Ayuda en Ciberseguridad deINCIBE (a través de Internet Segura for Kids, su canal para menores) son frecuentes las consultas por parte de educadores y padres en relación a la toma y uso de fotografías en los colegios. Por eso, en este artículo aportamos información básica para salir de dudas.

    Uso de fotos por el centro educativo

    Los centros educativos están legitimados para realizar el tratamiento de datos personales necesarios para la función docente, como puede ser contar con una fotografía para el expediente académico. Sin embargo, para las instantánes hechas con fines complementarios a la función educativa, como una actividad en el aula o una excursión, es necesario contar con la autorización de los padres, excepto en situaciones donde prime el interés superior del menor.

    Las imágenes, la voz o un vídeo que permitan la identificación inequívoca de una persona también se entienden como datos personales. En el caso de los menores hasta 14 años, es necesario contar con el consentimiento paterno para tratar estos datos. Por eso, lo adecuado es informar a los padres o tutores de la posibilidad de que se tomen fotografías de sus hijos, así como especificar su finalidad y periodo de validez: si se subirán a la web del centro, si se emplearán en documentos que se pueden hacer públicos, si se compartirán en redes sociales o si estas estarán abiertas o restringidas.

    Una opción recomendable es utilizar distintas autorizaciones según el uso que se les vaya a dar. Para facilitar esta tarea, los centros educativos pueden apoyarse en los distintos modelos de consentimiento sobre datos personales que desde Internet Segura for Kids del Instituto Nacional de Ciberseguridad (INCIBE) han creado.

    Tratamiento y gestión de fotos desde el centro educativo

    El propio centro educativo decidirá cómo gestionar este tipo de información personal de la manera más apropiada, en función de sus necesidades, siempre y cuando cumpla con el actual Reglamento General de Protección de Datos (RGPD).

    Lo adecuado es valorar las opciones antes de tomar la decisión, pues en muchas ocasiones se publican en redes sociales con el único fin de compartirlas con las familias. Ante esta situación, se podría proponer la alternativa de almacenarlas en un servidor de archivos con una gestión adecuada de usuarios y sus privilegios, para evitar la difusión pública de las imágenes. Eso sí, se debe prestar especial atención a la forma de guardar estas fotos con seguridad, teniendo en cuenta dónde las almacenamos y cómo (lo idóneo sería cifradas). Se trata de evitar tanto su pérdida accidental, como el que alguien las pueda ver sin permiso.

    También es importante que el personal del centro docente aplique buenas prácticas como: conocer las políticas sobre protección de datos; dominar la política de protección de datos de las aplicaciones informáticas que se usan en el colegio; planificar qué hacer si sucede una pérdida, daño o tratamiento ilícito de esos datos; y disponer de los consentimientos necesarios en caso de ceder datos personales a empresas a las que se contraten servicios o con las que se colabore.

    ¿Qué ocurre cuando son los padres quienes realizan las fotos?

    En algunas ocasiones, cuando se celebran fiestas organizadas por el propio centro, como en fin de curso, las actividades, los festivales u otros eventos, las familias acuden al colegio y es común que realicen fotos o vídeos de sus hijos. El problema puede surgir cuando en ellas aparecen también otros niños. Y es que, aunque se quiera hacer un uso doméstico de ellas y no compartirlas en Internet, se debería disponer del consentimiento del resto de padres implicados si sus hijos también aparecen en ellas.

    El responsable sería la persona que capta o difunde las imágenes, por lo que si las hace un padre, no sería responsable el centro educativo. No obstante, siempre es conveniente que el colegio actúe de intermediario y defina estos aspectos trasladando a las familias buenas prácticas a seguir. Para ello puede informar con un criterio claro sobre si se permite o no la toma de fotografías y vídeos en este tipo de actos a través de una circular. Y un buen momento para hacerlo puede ser en la misma nota informativa donde se convoca a los padres a la celebración, aprovechando además la ocasión para invitarles a reflexionar sobre un uso responsable de la imagen de sus hijos.

    En resumen...

    Compartir públicamente fotografías en las que aparezcan menores puede originar situaciones como el grooming, por lo que es importante cuidar los datos personales y valorar las consecuencias de compartirlas, ya que pueden afectar a la privacidad y reputación. Además, hay que considerar que cualquier grupo de datos que por separado no permitan la identificación de una persona, pero sí en su conjunto, son considerados dentro del ámbito jurisdiccional de los datos personales y no pueden ser tratados por terceros libremente sin consentimiento. Por lo tanto, se debe tener en cuenta que:

    • Proteger la privacidad de los menores no es un capricho. Los padres o tutores están en su derecho de querer proteger la privacidad de su hijo, por lo que se debe respetar la decisión de oponerse a que el centro escolar publique contenido del menor.
    • Buscar alternativas para que nadie sea excluido. En los casos en los que no se cuente con la autorización de los padres para que la imagen de su hijo se comparta en Internet, se puede optar por pixelar, difuminar u ocultar los rostros de esos niños en las fotos. En ningún caso, se debe excluir de actividades a los menores que no tengan dicho consentimiento, ya que siempre debe prevalecer el "interés superior del menor" y este principio también incluye la ecuanimidad dentro de sus necesidades educativas.
    • Facilitar distintos modelos de consentimiento según la finalidad de uso de las fotos. Además, es importante tener en cuenta que la autorización concedida por los padres está sujeta al derecho de rectificación y oposición.
    • Valorar los pros y contras de hacer públicas esas imágenes desde el centro educativo. Dependiendo de la finalidad que se busque con la compartición de fotos y vídeos, una alternativa es la de crear una intranet a la que solo puedan acceder los familiares con un usuario y contraseña. Una vez que se comparte algo a través de Internet (Facebook, Instagram, página web, etc.), escapa de nuestro control pudiendo llegar a personas que no deseamos.
    • Fijar unas normas claras en cuanto a la realización de fotografías en el recinto escolar. Además, es recomendable informar a las familias de aspectos como la responsabilidad del autor si se incumplen las normas fijadas; por ejemplo, ante situaciones como captar imágenes desde el exterior del recinto en el momento que los menores disfrutan del recreo.
    • ¡Cumplir con el RGPD desde el centro educativo! Un recurso útil para ello puede ser apoyarse en la' Guía para centros educativos' de la Agencia Española de Protección de Datos (AEPD).

    ¿Eres partidario de las fotos en el cole? ¿Sabes cómo las gestionan en el centro educativo de tu hijo? Recuerda que si continuas con dudas, puedes consultar de manera gratuita y confidencial a la Línea de Ayuda gratuita en Ciberseguridad de INCIBE: 900 116 117.

    TTCS protección de datos niños

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Diariocolmenar

  • ¿La normativa de protección de datos se aplica a los videoporteros?

    ¿La normativa de protección de datos se aplica a los videoporteros?

    La normativa de protección de datos no es de aplicación cuando se trate de tratamientos mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, como ocurre, por ejemplo, cuando el tratamiento sea efectuado a través de videoporteros. Sin embargo, según la  Agencia Española de Protección de Datos (AEPD @AEPD_es) si será de aplicación cuando el servicio se articule mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante.

    aepd VIDEOPORTEROS

    En consecuencia, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, sujeto a la normativa de protección de datos.

    Dicha normativa establece unas obligaciones a las comunidades de propietarios, que serán las responsables del tratamiento de sus datos personales. En el caso de que tengan contratado un administrador de fincas, éste actuará como encargado del tratamiento de los datos. Es decir, en este caso, se establece la siguiente relación: la comunidad es responsable de los tratamientos y el administrador actúa como encargado de los mismos. Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones, entre las que podemos citar:

    • La creación del registro de actividades de tratamiento.
    • Cumplir con el derecho de información.
    • Atender los derechos de protección de datos.
    • Determinar la legitimación de los tratamientos.

    Además, el contrato entre la comunidad y el administrador deberá contener las respectivas cláusulas de protección de datos. Para ayudar a este cumplimiento, la AEPD dispone de la Guía Protección de Datos y Administradores de Fincas.

    El Reglamento General de Protección de Datos (RGPD) en su artículo 37 establece una serie de supuestos en que en relación a determinados tratamientos debe nombrarse un delegado de protección de datos. Entre estos supuestos no se encuentran las comunidades de propietarios, por lo que no es obligatorio su nombramiento.

    Además, con la aplicación del Reglamento General de Protección de Datos (RGPD) ha desaparecido la obligación de inscribir ficheros en la Agencia Española de Protección de Datos. No obstante, debe configurarse el registro de actividades de tratamiento tanto de la comunidad de propietarios como del administrador de fincas, con el contenido que dispone al respecto el artículo 30 del RGPD. Dicho registro es de carácter interno, no debe comunicarse a la Agencia, si bien ésta puede requerirlo en cualquier momento.

    #agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #leyorganicadeprotecciondedatos #AEPD

    Fuente: 65ymas

  • ¿Puede un hospital informar sobre el ingreso de un paciente o su estado?

    ¿Puede un hospital informar sobre el ingreso de un paciente o su estado?

     

    La Agencia Española de Protección de Datos (AEPD) ha fijado cuáles son los criterios sobre el adecuado tratamiento y protección de los datos personales que se deben atender en el ámbito sociosanitario.

    Este organismo trata así de despejar muchas dudas que existen en hospitales o centros asistenciales sobre si se puede o no informar sobre la estancia de un paciente y su estado de salud; las medidas que se deben adoptar si existen órdenes de alejamiento; o si se pueden facilitar datos a las fuerzas y cuerpos de seguridad del Estado.

    La Agencia Española de Protección de Datos ha analizado por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria, aunque estas inspecciones "de oficio" no tienen carácter sancionador sino preventivo para detectar deficiencias y plantear mejoras para elevar el nivel de protección de los datos personales de los ciudadanos.

    El "Plan de Inspección de oficio de la atención sociosanitaria", publicado hoy por este organismo, incluye recomendaciones a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para aplicar de una forma correcta la legislación española sobre la protección de los datos personales.

    Destacan entre las conclusiones las referidas a la información que se debe ofrecer al usuario de los servicios de protección de datos, y que según la AEPD debe ser "por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información".

    La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, y posteriormente profundizar en otras "capas" con información más detallada y personalizada.

    El plan incluye un apartado que da respuestas a las preguntas más frecuentes sobre la protección de los datos en estos ámbitos; por ejemplo si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

    Un usuario de estos servicios no puede cancelar sus datos personales; sí se pueden utilizar para investigación los datos de los pacientes -siempre haciendo un uso proporcional al objetivo que se persigue-; se pueden tratar los datos personales de personas que sufren ya un avanzado deterioro cognitivo; y sí, las fuerzas de seguridad pueden acceder a esos datos en el marco de una investigación y con el correspondiente mandato judicial.

    El documento que ha publicado la AEPD recomienda por otra parte minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; o que los empleados de estos centros que traten datos personales de los usuarios suscriban un compromiso de confidencialidad y eviten la utilización de "usuarios genéricos" compartidos por varios trabajadores.

    La Agencia Española de Protección de Datos apreció muchas dudas sobre si los centros pueden facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares.

    En este sentido, el organismo que vela por la adecuada protección de los datos ha subrayado que se debe recabar el consentimiento del usuario, aunque en el caso de "urgencia vital" o si la presencia de personas vinculadas al paciente puede ser "esencial" para la debida atención del usuario -y siempre que el paciente no se haya opuesto a que se facilite esa información- el centro puede informar si la persona se encuentra ingresada y de su ubicación.
     
    proteccion de datos en hospital AEPD covid19

    #agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion 

    Fuente: Noticiasdenavarra

     

  • ¿Puedo recibir una multa de la AEPD por escanear el pasaporte de un cliente?

    ¿Puedo recibir una multa de la AEPD por escanear el pasaporte de un cliente?

    Un hotel español acaba de recibir una multa de 30.000€ por la Agencia Española de Protección de Datos (AEPD). Todo, por escanear el pasaporte de un turista holandés. La situación ha trascendido en el sector, que se pregunta por las implicaciones a corto y largo plazo de esta manera de actuar. Sobre todo, porque podría afectar a la gestión de los alojamientos turísticos, incluyendo a los campings.

    Desde la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) han reaccionado con conmoción y desconcierto ante la noticia. Sobre todo, porque aseguran que lo que ha ocurrido se trata de un procedimiento habitual usado por los establecimientos para cumplir precisamente con las exigencias que marca el deber de información.

    Al fin y al cabo, hoteles y campings necesitan tener un registro de viajeros. En este caso, aseguran que se trataba de una manera de verificar la identidad del viajero si en algún momento perdía la tarjeta de acceso a su cuarto. Pero es que, además, también es un paso necesario para acceder al resto de servicios que ofrecen en sus instalaciones.

    Por tanto, la polémica está servida. En CEHAT han solicitado urgentemente a las administraciones turísticas que se creen otras normas que impidan que esto vuelva a repetirse. Para entender mejor lo que ha ocurrido, vayamos por partes. Así también podremos saber las implicaciones que podría tener este suceso en el futuro inmediato del sector viajes.

    ¿Por qué se ha producido la multa?

    De acuerdo a Protección de Datos, el motivo es que el hotel Marins Playa ha utilizado la foto del pasaporte del cliente para elaborar una ficha digital. En ella, se incluían datos personales del huésped sin que este hubiese dado su permiso. Sin embargo, CEHAT insiste en que es una manera de prevenir el uso fraudulento de la tarjeta de acceso y para comprobar que el titular de la tarjeta de los consumos internos era el mismo cliente.

    Este hecho ha sido considerado una infracción muy grave del artículo 6 del Reglamento General de Protección de Datos (RGPD. Por tanto, ha sido sancionada con la cuantía 30.000 euros, que es la mínima para un hecho de este nivel. No hay que olvidar que las sanciones muy graves pueden ascender hasta los 20 millones de euros o a un 4% de la facturación total del establecimiento, dependiendo de cuál sea la mayor de estas dos cantidades.

    Lógicamente, habrá establecimientos a estas alturas preguntando cómo se han desencadenado los acontecimientos. En este caso todo surge en el momento en el que el ciudadano holandés pone una reclamación ante la Autoridad de Protección de Datos (AP) de Países Bajos. Según ha contado, el local puso la imagen a disposición de las tablets de los empleados para que verificaran su identidad sin que él hubiese tenido conocimiento previo de ello.

    Desde allí luego se ha trasladado la demanda a la AEPD, que es quién ha dictado la sentencia. De no haber sido por la intervención inicial del huésped, es posible que la multa no se hubiese producido. Sin embargo, esto sigue planteando un dilema a los alojamientos, que se arriesgan a que ocurran de nuevo situaciones que podrían derivar en grandes pérdidas económicas y de confianza para campings y hoteles.

    ¿Cuál ha sido la defensa del hotel?

    En base a este hecho, CEHAT denuncia que la decisión de la AEPD se suma a las permanentes quejas sobre la inseguridad jurídica. También han insistido en la sensación de persecución que los empresarios turísticos sienten en materias de protección de datos. Sobre todo, porque las normativas exigen elaborar y facilitar a las empresas turísticas información necesaria para el Ministerio del Interior.

    La patronal considera que el sector siempre se ha mostrado abierto a colaborar. De ahí que, a partir de la tecnología, el mecanismo habitual y eficiente para cumplir este requerimiento era el escaneo del documento para que los datos fueran fidedignos. El propio hotel afectado aseguró al cliente holandés que el procedimiento de escaneo era necesario porque seguían las instrucciones de la policía.

    De hecho, la AEPD en un primer momento llegó a considerar lícito el tratamiento legal de los datos. Sin embargo, la AP holandesa aseguró que no se estaban valorando bien todas las pruebas. Su argumentación es que el alojamiento podía haber utilizado métodos menos intrusivos para verificar la identidad del titular de la tarjeta del hotel. Por ejemplo, consideran que el apellido, el número de habitación o incluso la firma hubiesen sido buenas alternativas.

    Sin embargo, el medio Confidencial Digital asegura que el hotel ha insistido en todo momento que todos estos métodos permiten una suplantación de identidad: si alguien escuchase la información, podría haberla usado en su nombre. Como no hacían alusión a estos métodos en la sección «Política de Privacidad» de su página web, finalmente la AP desestimó sus argumentaciones. En su comunicado oficial aseguran que no habían informado debidamente al huésped y, también, que el tratamiento de datos personales es innecesario y desproporcionado.

    ¿Entran en conflicto las leyes?

    A pesar de todo, la Confederación apunta que esto entraña unos importantes riesgos por la inseguridad jurídica. Consideran que hay una falta de coherencia de interpretación entre lo solicitado por las Fuerzas y Cuerpos de Seguridad del Estado y las normas de protección de datos personales. No solo eso, es que además han manifestado su preocupación por la entrada en vigor del Real Decreto 933/2021 el próximo 28 de abril.

    La nueva ley recopila las obligaciones de recogida y comunicación de datos. Sin embargo, todavía no existe un documento de desarrollo específico para hoteles que se ajuste a la tecnología de los sistemas informáticos habituales utilizados. Por eso CEHAT ha manifestado tanto al Ministerio de Turismo como al de Interior la imposibilidad de recoger los datos solicitados en este Real Decreto.

    Bien sea porque campings y hoteles no tienen acceso a los mismos o porque están prohibidos por normativa española y europea, lo consideran inviable. Además, esta nueva normativa también contempla importantes sanciones, que podrían entrañar un riesgo. Al mismo tiempo, exige a los hoteleros datos de la transacción económica que son tratados por los proveedores de servicios de pago y plataformas, sin que los establecimientos tengan acceso a ellos por razones de seguridad.

    Por su parte, los proveedores de medios de pago, por razones de seguridad y siguiendo protocolos aprobados por el Banco de España, los encriptan de manera que el hotel no tiene acceso a ellos. Es decir, que en los próximos meses podemos encontrarnos con una situación compleja a nivel de legalidad y recogida de datos en los hoteles.

    ¿Qué riesgos existen para campings y hoteles?

    En base a todo lo que hemos comentado, los establecimientos se encuentran ante una disyuntiva. Aunque permanece vigente la obligación de rellenar y firmar el parte de entrada, la tecnología ha dejado anticuado este método de check-in tradicional. De hecho, CEHAT señala que otras tipologías de establecimiento de alojamiento que no sean campings y hoteles no disponen de servicios de recepción donde se pueda cumplimentar esta obligación.

    Teniendo esto en cuenta, la patronal ha solicitado a las administraciones turísticas que se creen otras normas que impidan el actual desconcierto, o se posponga la entrada en vigor del Real Decreto hasta que haya una norma de desarrollo con posibilidades de cumplimiento. De lo contrario, creen que se podrían producir negativas de información para la seguridad del Estado.

    «No es aceptable obligar a un establecimiento a proporcionar datos a mano en el año 2022, ya que mucha de la información solicitada en estas normativas excede los datos que aparecen en el documento digital de identidad del viajero», señala Ramón Estalella, secretario general de CEHAT.

    Al final, desde la Confederación exponen que los campings y hoteles pueden encontrarse ante la tesitura de tener que elegir entre ser sancionados por incumplir o bien las normas de Registro de Viajeros o bien las de Protección de Datos. Por tanto, consideran que son necesarias nuevas herramientas tecnológicas que ayuden a solventar el problema de los alojamientos.

     

    multa AEPD escanear pasaporte

    #AEPD #agenciaespañoladeprotecciondedatos #privacidaddedatos #usoinapropiadodeinformacion #multaAEPD

    Fuente: Campingprofesional

  • ¿Qué puede hacer una cámara térmica o un control de fiebre en locales y comercios contra el coronavirus y cómo se manejan los datos que obtendría?

    ¿Qué puede hacer una cámara térmica o un control de fiebre en locales y comercios contra el coronavirus y cómo se manejan los datos que obtendría?

    Con las nuevas fases de desescalada llegan nuevas incógnitas sobre cómo se va a reanudar la actividad económica y social y qué puede hacer la tecnología para ayudar en el proceso. En algunas informaciones se habla ya de la toma de la temperatura para entrar a ciertos comercios y locales e incluso de la instalación de cámaras térmicas que lo hagan de manera automatizada. Desde la perspectiva de la protección de datos, este asunto es algo delicado, sobre todo en el ambiente laboral y en las medidas tomadas para los empleados, y a nivel epidemiológico no es la práctica más avalada tampoco.

    La Agencia Española de Protección de Datos (AEPD) habla de ese último punto para explicar los supuestos en los que se podría utilizar esta tecnología de una manera que no sea de lo más intrusiva: si hay que hacerse, que se haga, pero que al menos tenga el visto bueno de las autoridades sanitarias y que esté contemplado el uso que se le va a dar a los datos de salud que se recojan sobre esta práctica. Ya se ha denunciado ante este organismo a alguna empresa por esta práctica al considerar que vulnera derechos.

     

    Not.06.05

     

    Las evidencias epidemiológicas sobre el control de la temperatura corporal como factor decisivo continúan siendo escasas

    La Organización Mundial de la Salud (OMS) se pronunció sobre la eficacia de los escáneres térmicos para detectar a personas infectadas con COVID-19. Dice que los escáneres térmicos son efectivos a la hora de detectar personas que han desarrollado fiebre como consecuencia del nuevo coronavirus, pero no pueden detectar a las personas infectadas que aún no presentan fiebre (algunas personas infectadas tardan entre 2 y 10 días en tener fiebre). Y no solo eso, sino que hay muchas personas que no llegan a tener fiebre pero sí desarrollan otros síntomas o que "la disimulan mediante el uso de antipiréticos".

    Los métodos o aparatos por los que se mide la temperatura también son importantes, porque pueden dar resultados más o menos precisos sobre la temperatura, y tampoco hay, por el momento, ninguna directriz fijada sobre qué temperatura deberían tomar (hipotéticamente) los empresarios que introdujeran estas medidas y tecnologías.

    “La fiebre, en sí misma, no es indicativa de COVID-19 ni de ninguna enfermedad concreta. Es síntoma y signo de múltiples enfermedades, no solo infecciosas”, aclaran desde el grupo de comunicación de la Sociedad Española de Microbiología a Maldita Tecnología.

    Es necesaria esta especificación porque, como señalan, el principal problema epidemiológico “son los portadores presintomáticos y asintomáticos, que no tienen fiebre y escaparían a este control” y a cualquier otro basado en síntomas: “Un control de temperatura no garantiza en ningún momento que no pasen personas contagiosas sin síntomas o con sintomatología leve. Por el contrario, es posible detectar como sospechosas a personas que no padecen COVID-19”.

    Sí que consideran que en un “escenario pandémico de vigilancia epidemiológica exhaustiva” tomar la temperatura puede ser “útil” como un “cribado sencillo para, de una forma muy inespecífica, detectar posibles casos activos de infección”. La cuestión es que a nivel privado y de pequeños negocios podría no ser “procedente” debido a la “falta de competencia de los propietarios para interpretar este síntoma inespecífico”, según señalan.

    “El control de temperatura sin prescripción por parte de la autoridades sanitarias no está recomendado en ninguna de las circunstancias”, resume Jesús Molina Cabrillana, secretario de la Sociedad Española de Medicina Preventiva Salud Pública e Higiene y jefe del servicio de Medicina Preventiva del Complejo Hospitalario Universitario Insular Materno Infantil de Las Palmas de Gran Canaria. “La fiebre puede tener diversos orígenes (no solo las infecciones), puede verse afectada por antitérmicos y no siempre está presente en COVID”, explica.

    Cuando comenzó la pandemia, este tipo de controles se implantaron en aeropuertos y puertos de algunos países, y ya entonces varios estudios determinaron que es un método con baja efectividad y un problema para el caso de los falsos negativos. 

    ¿Mi temperatura corporal es un dato personal?

    La temperatura corporal y un posible síntoma de fiebre o febrícula es un dato propio de salud que no puede tratarse a la ligera. En el Reglamento General de Protección de Datos (RGPD) este tipo de información goza de una protección especial.

    “Este tratamiento de toma de temperatura supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus”, afirma la AEPD en un comunicado emitido el 30 de abril.

    Aquí se añade la preocupación de que la temperatura corporal, aislada de otro tipo de información, no tiene por qué revelar la identidad de una persona, pero sí produce cierto estigma al darse por hecho que con síntomas de fiebre esta padece COVID-19: “las consecuencias de una posible denegación de acceso pueden tener un importante impacto”, se explica.

    La AEPD incide en que “estas medidas deben aplicarse sólo atendiendo a los criterios definidos por las autoridades sanitarias”, tanto en lo relativo a la “utilidad” que pueda tener como en su “proporcionalidad”. Y que “esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.”

    Medidas aparte: ¿pueden las empresas hacer esto? “En España, las empresas tienen el deber de proteger la salud de sus trabajadores, velar por la salud de los empleados y sí están legitimados para llevar a cabo determinados tratamientos, pero con algunas particularidades”, explica Ruth Benito Díaz, abogada especializada en protección de datos y miembro de CovidWarriors.

    Y bajo ese supuesto, recogido en el art. 22.1 de la Ley de Prevención de Riesgos Laborales, es como la AEPD afirma que esta recogida de datos podría justificarse jurídicamente: porque los empleadores tienen que garantizar la seguridad y la salud de las personas trabajadoras. En principio, los datos de salud “los deben poder manejar únicamente personal sanitario, mutuas o los servicios de prevención de riesgos laborales, pero no la empresa en sí”, añade Benito Díaz.

    Jorge García Herrero, abogado especializado de Secuoya Group, sostiene que “cualquier control sobre el trabajador debe ser fundamentado documentalmente como necesario, proporcional y limitado” y que “cualquier medida de control de estas características realizada por la empresa a través de personal propio sobre toda la masa de trabajadores debería venir precedida de una evaluación de impacto en privacidad”. Lo que viene a decir que si la medida es estrictamente necesaria, bien. Pero que si no, habría que plantearse una alternativa.

     

    Not2.06.05

     

    Sanidad no ha transmitido ninguna recomendación a los comercios de implantar estas medidas de control

    A 5 de mayo, el Ministerio de Sanidad no ha transmitido ninguna recomendación a los locales y establecimientos que pueden ir abriendo en las distintas fases de desescalada sobre la toma de temperatura corporal. Si bien en lo que respecta a determinados comercios y servicios en una de las órdenes ministeriales del Boletín Oficial del Estado (BOE) se habla de establecer “el aforo máximo y las distancias mínimas que es necesario respetar”, así como medidas para garantizar la seguridad, no hay nada especificado sobre impedir el acceso si alguien tiene fiebre. Desde el departamento también han confirmado que no hay ninguna recomendación al respecto.

    En el artículo 3 de la Orden SND/388/2020 del 3 de mayo, además se especifica los casos en los que un trabajador no podrá incorporarse a su puesto de trabajo en un establecimiento comercial:

    Y en el caso del acceso de clientes que acudan a los establecimientos que abran, se fijan las siguientes pautas a cumplir:

    ¿Puedo negarme a que me tomen la temperatura si me lo piden en un establecimiento?

    Es la gran pregunta, en vista de que muchos establecimientos pueden implantar este sistema si así lo consideran. En el caso de los trabajadores, se deben cumplir una serie de requisitos para que la empresa pueda hacer un reconocimiento médico que incluya la toma de temperatura en el marco de la pandemia de COVID-19: que la medida sea proporcional, idónea y necesaria y que cuente con el consentimiento de los trabajadores o de los representantes de los trabajadores, en su defecto.

    Fabián Valero, abogado especialista en derecho laboral en el grupo Zeres, explica que hay dos derechos fundamentales que están en conflicto en este caso: el derecho a la intimidad y el derecho a la vida e integridad física. Ninguno desaparece al firmar un contrato con una empresa, pero sí que te integras en una estructura empresarial cuya dirección podrá organizar tu trabajo y determinar ciertas medidas.

    Según el artículo 4 y 5 del Estatuto de los Trabajadores, los trabajadores tienen derecho a una protección efectiva de la salud y una prevención de riesgos laborales adecuada, pero también tienen la obligación de acatar instrucciones de la empresa. Frente a una pandemia que puede afectar al colectivo de los trabajadores, el reconocimiento médico se podría hacer solo con los tres requisitos, según Valero, entre ellos determinar si la medida es “idónea”, “proporcional” y “necesaria”. Si cumple con esos tres supuestos, podría hacerse si el trabajador lo consiente.

    Y si no, con "una excepción, que dice que una situación de riesgo inminente o grave para el resto de trabajadores, para el propio trabajador o terceros, la empresa puede hacer un reconocimiento médico, con previo informe de los representantes de los trabajadores”, explica Valero.

    Si soy un cliente, la situación puede ser complicada, sobre todo si es a través de una tecnología como una cámara térmica, que probase que tengo una temperatura corporal elevada y que luego se me identificase, en consecuencia. La AEPD no lo categoriza de ilegal siempre y cuando se haga una evaluación apropiada de la medida y se integre la protección adecuada al tratamiento de los datos personales obtenidos.

    “En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID – 19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados”, explica la AEPD. Con eso se refiere a que las personas afectadas que quieran entrar a un establecimiento que impone esta norma no podrían negarse a someterse al control de temperatura, por ejemplo, por lo que tampoco existiría la “libertad” de dar nuestro consentimiento para hacerlo. O lo tomas o lo dejas.

    #coronavirus #covid19 #agenciaespañoladeprotecciondedatos #protecciondedatos #coronavirustemperaturacorporal

    Fuente: Maldita

  • Cámaras en la puerta de casa que pueden grabar a los vecinos: cómo hay que usarlas para cumplir la ley

    Cámaras en la puerta de casa que pueden grabar a los vecinos: cómo hay que usarlas para cumplir la ley

    Comunidad de vecinos camaras

    Con el aumento de timbres conectados con cámara surge la duda de hasta qué punto son legales. Al fin y al cabo, dispositivos que pueden grabar a quien pasa por delante. ¿No se ven afectados los derechos de privacidad del resto de vecinos? ¿Cualquiera puede simplemente instalar un timbre con cámara en la puerta de su casa y hacer como si no pasara nada? No es tan fácil. Aquí os explicamos cuál es la posición de la Agencia Española de Protección de Datos (AEPD) y qué aspectos deberemos tener en cuenta para su uso correcto.

    Los timbres con cámara son legales, pero hay letra pequeña. Si la mirilla digital no ofrece la posibilidad de grabar imágenes y solo se limita al momento en que la persona pica, entonces esas imágenes se consideran dentro del ámbito personal y privado. Sin embargo, si estos timbres conectados tienen cámara y pueden grabar imágenes en cualquier momento, entonces hay que vigilar con la Ley de Protección de Datos.

    El uso de las cámaras en la puerta de casa está justificado por cuestiones de seguridad, pero se diferencian múltiples casos. Si la cámara de la mirilla únicamente graba nuestra propiedad y solo una parcela delante de la puerta, la AEPD expresa que es un ámbito privado y estas grabaciones quedan excluidas del tratamiento de imágenes. Por otro lado, si la cámara apunta a la calle, a una zona común de la comunidad o a la urbanización, entonces se deberán llevar a cabos una serie de medidas adicionales.

    Es importante hacia dónde apunta la cámara. Estas cámaras solo deben apuntar hacia las zonas comunes y no podrán captarse imágenes de la vía pública, salvo que sea imprescindible, aunque como excepción se permite una franja mínima de los accesos. En caso de que la cámara sea orientable o tenga zoom, la AEPD también requiere que se instale una máscara de privacidad para evitar captar imágenes de la calle, terrenos colindantes u otras viviendas. Estos requisitos se aplican aunque el instalador sea un servicio contratado externo.

    Se necesita el permiso de la Comunidad de Propietarios. Para instalar una cámara en zonas comunes se necesitará el acuerdo de la Junta de Propietarios y deberá quedar reflejado en el acta. Preferiblemente, la AEPD además explica que se recomienda que quede constancia del número de cámaras y una descripción del espacio que está siendo captado, además de intentar contar con el permiso de los vecinos más cercanos a tu puerta.

    Si hay grabación, se requiere un aviso. Si hay tratamiento de imágenes, es decir, si se está grabando a los vecinos más allá de justo cuando pasan por delante, entonces hay que cumplir con una serie de requisitos adicionales. El primero es que el propietario deberá darse de alta como responsable, por ejemplo a través de la herramienta Facilita RGPD, y asegurar que se están tomando las medidas suficientes en protección de datos.

    Además hará falta informar que la zona está videovigilada, con un cartel que indique quién es el responsable y la posibilidad de las personas de ejercer sus derechos. Un cartel de aviso muy habitual de ver en los hogares que tienen sistemas de alarmas y seguridad.

    Estas imágenes grabadas, como máximo podrán ser conservadas durante un plazo de un mes, salvo que se utilicen como prueba para una denuncia.

    En Reino Unido ya se ha empezado a multar. Un vecino de Oxfordshire fue demandado y condenado a pagar una multa de hasta 100.000 libras por no avisar que estaba grabando con su cámara de Ring. El propietario defendía que su única intención era evitar robots, pero se grabó vídeo y hasta audio, ya que antes de 2020 las cámaras de Ring también guardaban el sonido. La propia Ring de Amazon tiene una guía sobre cómo se debe proceder si vamos a instalar una cámara.

    En España han habido algunas reclamaciones, pero se han archivado. La AEPD ha recibido algunas reclamaciones de vecinos, pero por el momento todas han sido archivadas. Un caso fue el de un vecino que denunció la instalación de una de estas mirillas digitales, pero al solo activarse cuando pasaba por delante no se consideró un tratamiento de datos.

    "No podemos vivir de espaldas a los avances tecnológicos", han expresado desde la Agencia Española de Protección de Datos. "En particular en materia de cámaras, que prácticamente forman parte de nuestra vida cotidiana".

     

    camaras vecinos

     

    Fuente: Xataka

     

  • Colocar un cartel de advertencia al lado de una cámara no nos autoriza instalarla y grabar en cualquier sitio

    Colocar un cartel de advertencia al lado de una cámara no nos autoriza instalarla y grabar en cualquier sitio

    Las cámaras de vigilancia suelen ser algo que suscita muchas dudas que hemos ido resolviendo poco a poco: dónde pueden colocarse, qué requisitos debo cumplirsi la puedo llevar en el coche, cuándo tengo que avisar y cuándo no, si las puedo instalar en viviendas vacacionales En la mayoría de estos casos, uno de los requisitos fundamentales que especifica la ley si vamos a instalar aparatos de videovigilancia es la colocación de carteles que adviertan de la presencia de dicha cámara y que informen del tratamiento de los datos y de su responsable. Pero, ¿colocar el cartel por sí solo nos permite poner estas cámaras donde queramos?

    Hay que diferenciar los dos tipos de espacios que existen: los públicos y los privados. Samuel Parra, abogado especializado en protección de datos en ePrivacidad, explica que “en los espacios públicos, como calles, aceras o carreteras” no podemos colocar cámaras a nuestro antojo que graben continuamente “porque es competencia exclusiva de los cuerpos y fuerzas de seguridad del Estado”. El especialista apunta que tampoco sería legal tener una cámara en el interior de una casa o un establecimiento apuntando hacia la calle, y que en la imagen se pudiera observar lo que sucede fuera.

    El espacio público, como aceras o carreteras, no puede grabarse sin justificación

    La Agencia Española de Protección de Datos (AEPD) se ha pronunciado al respecto en algunas ocasiones y multado a personas que habían instalado cámaras de videovigilancia en espacios públicos. Por ejemplo, impuso una multa de 2.000 euros a una persona en Granada porque estas estaban “orientadas palmariamente hacia espacio público, de manera que el denunciado controla todo el ancho de la acera pública de manera desproporcionada”. En otro caso, en Zaragoza, sancionó con el mismo importe a una empresa por actuar con “negligencia” al “captar ampliamente zona pública y zonas de la propiedad adyacente, sin haber adoptado medida alguna para enmascarar las imágenes”. 

    Los espacios privados son otro cantar. “Nuestros hogares, tiendas, oficinas o espacios de trabajo son espacios privados, aunque en algunos como los establecimientos comerciales o las oficinas no los veamos así porque los compartimos con más gente”, añade Parra. Aunque parezca lo contrario, un bar o una tienda es un espacio privado, tal y como os explicamos en este artículo cuando hablábamos de la captación de imágenes o vídeos por parte de otros comensales en los que podríamos llegar a aparecer.

    Incluso en estos espacios privados, hay diferencias: “Si estamos en nuestra casa, no habría problema en colocar las cámaras ni tampoco haría falta colocar un cartel”, explica el abogado. Al fin y al cabo, nuestra casa es un espacio privado por el que sólo pasamos nosotros y las personas que autoricemos.

    Si el espacio doméstico se convierte en profesional, tiene que cumplir la normativa y avisar de la presencia de cámaras

    Para este caso también hay excepciones: “Desde el momento en el que tenemos a una persona que viene a limpiar a nuestra casa, por ejemplo, deja de ser doméstico para convertirse en un espacio profesional y ahí sí que estamos obligados a avisar de la presencia de las cámaras a través de carteles”. El especialista también señala que “tenemos que adjuntar una hoja en el contrato [en el caso de un limpiador, por ejemplo] que recoja estas circunstancias y que especifique para qué se tratan los datos, quién es el responsable, cuándo se eliminan y demás requisitos legales”. 

    Al tratarse de ámbitos profesionales, lo mismo sucede en el caso de que regentemos una tienda o bar o un restaurante, pero también si trabajamos presencialmente en las oficinas de nuestra empresa. Además de los carteles junto con las cámaras, los empleados, al igual que sucede con el ejemplo de nuestra casa, también tienen que firmar ese documento en el que se les informe de la grabación de imágenes y en el que se recoja toda la información sobre las cámaras y el tratamiento de los datos. 

    El abogado recomienda “colocar un cartel al lado de cada cámara, bien visible, y no únicamente a la entrada del local o unas sí o en otras no, porque puede llevar a la confusión o al olvido de que estas cámaras existen”. 

    camaras AEPD

     

    Fuente: Maldita

  • Coronavirus y protección de datos: cuando el interés público se impone a la privacidad

    Coronavirus y protección de datos: cuando el interés público se impone a la privacidad

     

    La detección precoz de los casos compatibles con covid-19 y la vigilancia epidemiológica para rastrear los sospechosos son claves para controlar la transmisión de la enfermedad, según el Ministerio de Sanidad. Y, por ello, la figura del rastreador se está revelando como primordial en la lucha contra la pandemia, ya que su labor, tirar del hilo, es esencial a la hora de contener la propagación del virus.

    ¿Cabe la posibilidad de que una autoridad sanitaria comunique a amigos, compañeros de trabajo o familiares que alguien está infectado del coronavirus? ¿Pueden los empresarios tratar la información de si sus trabajadores tienen, o han tenido, la enfermedad? ¿Tiene un empleado la obligación de informar a su empresa de que está en cuarentena preventiva o afectado por la covid-19? Ante la avalancha de preguntas y disparidad de opiniones, la propia Agencia Española de Protección de Datos (AEPD) publicó un informe hace unos meses para arrojar luz y total claridad en estos aspectos.

    Cabe destacar que el derecho a la protección de datos tiene origen en el artículo 18 de la Constitución Española (“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito”). Este derecho se mantuvo en vigor durante el estado de alarma, y por supuesto sigue vigente hoy día, una vez superada esa situación excepcional.

    En su informe, la AEPD afirma que el Reglamento General de Protección de Datos reconoce que, en situaciones excepcionales como la actual, “la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado y otra persona física”. Y es precisamente al reconocer la protección de esa “otra persona física” cuando se está legitimando el tratamiento de datos personales del individuo en aras de la protección al contagio de terceros. En consecuencia, el choque de derechos colectivos e individuales se resuelve en favor de la protección de la salud pública.

    Conocimiento de una empresa

    Así que sí, una empresa puede conocer de las autoridades sanitarias si uno de sus trabajadores está infectado o no, “para así diseñar los planes de contingencia necesarios” para salvaguardar la salud del resto. Dicha información “debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad” si de este modo es posible proteger al resto del personal. Solo en el caso de que dicha protección no pudiera garantizarse con una información parcial, “o la práctica sea desaconsejada por las autoridades competentes, en particular las sanitarias”, se proporcionará la identificación.

    La empresa también puede preguntar directamente a sus trabajadores, aunque dichas preguntas “deben limitarse exclusivamente a indagar sobre la existencia de síntomas”, o sobre si el empleado “ha sido diagnosticado como contagiado o sujeto a cuarentena”. Cuestionarios de salud más extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad, sí contravendrían la protección de datos del empleado.

    ¿Y puede la empresa pedir a sus empleados o a visitantes ajenos datos sobre países que hayan visitado anteriormente, o si presentan síntomas relacionados con el coronavirus? “Sí, siempre que la información solicitada se limite a preguntar por visitas a países de alta prevalencia del virus, y en el marco de incubación de la enfermedad”, las dos semanas anteriores a dicha consulta.

    Y sí, los trabajadores afectados por la cuarentena deben informar su empresa y al servicio de prevención o a los delegados de prevención de que se encuentran en esa situación. Y es que el derecho de no informar sobre el motivo de una baja laboral por enfermedad queda “suspendido” frente a la defensa de otros derechos como el de la protección de la salud del resto de trabajadores en situaciones de pandemia y de la defensa de la salud de toda la población.

    Agencia Espanola Proteccion Datos

    La toma de temperatura, a debate

    Mención aparte merece para la Agencia Española de Protección de Datos la toma de temperatura en espacios y lugares públicos, ya que esta medida puede suponer un asalto injustificado a nuestros datos personales. La AEPD lo tiene claro: “Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados”. En concreto, porque “afecta a datos relativos a la salud de las personas, no solo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino porque, a partir de él, se asume que una persona padece o no una concreta enfermedad”.

    Según la agencia, “una eventual denegación de acceso a un espacio público estaría desvelando a terceros, que no tienen ninguna justificación por conocer esta información, que la persona afectada tiene una temperatura corporal por encima de lo que se considera no relevante y, sobre todo, porque puede haber sido contagiada por el virus”. Por ello, Protección de Datos recuerda que hay “un porcentaje de personas asintomáticas que no presentan fiebre, que la fiebre no siempre es un síntoma presente y que puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus”.

    En el entorno laboral, la AEPD matiza que las pruebas de fiebre “podrían quedar amparadas en la obligación que tienen los empleadores de garantizar la seguridad y la salud de las personas trabajadoras a su servicio”.

    agencia española de proteccion de datos coranovirus

    ¿Protegen nuestros datos las aplicaciones de rastreo de contagios?

    En principio, sí. Radar Covid, por ejemplo, es una aplicación disponible ya en la tienda de aplicaciones de Google (App Store se sumará también) y está impulsada por el Gobierno. Notifica al usuario si ha estado en contacto con algún positivo diagnosticado, pero no recoge el nombre, correo electrónico, número de teléfono ni geolocalización de quien se la descarga. Dicho de otra forma, recoge los movimientos de forma anónima y alerta a quienes hayan estado próximos en caso de infección, sin indicarles en ningún momento la fecha, hora o lugar de exposición.

    #agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion 

    Fuente: Heraldo

  • Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

    Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

     

    “22 millones de registros en total, de los cuales 1.060.000 son afectados de la Unión Europea y unos 17.792 de España”: son datos de un incidente de seguridad informática que afectó a Cafepress, una empresa dedicada a la venta de camisetas personalizadas en todo el mundo.

    Confidencial Digital ha consultado una resolución reciente de la Agencia Española de Protección de Datos, con la que se archivan las actuaciones referentes al ese incidente en el que fueron sustraídos, para ser puestos a la venta, datos personales de varios miles de españoles.

    Datos de clientes a la venta en la “dark web”

    Todo comenzó el 6 de agosto de 2019. Ese día Cafepress (que tiene su sede en Shelbyville Road, Lousville, Kentucky, Estados Unidos) descubrió que dos conjuntos de registros de datos de clientes estaban disponibles a la venta en la “dark web”.

    Se denomina “dark web” aquella parte parte de la “deep web” o Internet profunda que está intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial.

    En estas redes de “dark web” se llevan a cabo transacciones ilegales: drogas, armas, pornografía infantil, órganos humanos... se venden a través de él.

    Notificación a Protección de Datos

    La Agencia Española de Protección de Datos recibió un escrito de notificación de quiebra de seguridad remitido por Jones Day, un bufete de abogados que representaba a Cafepress INC.

    En el escrito se le informaba de que por fuentes externas habían tenido conocimiento de que Cafepress se había enterado “por fuentes externas que su base de datos de clientes había sido puesta a la venta en la ‘dark web’, un conjunto de un total de 22 millones de registros. Tras investigar el caso determinaron que una tercera persona no identificada obtuvo, sin autorización, la base de datos de clientes de Cafepress”.

    De esos 22 millones de registros por todo el mundo, más de un millón pertenecían a ciudadanos de la Unión Europea, y a su vez 17.792 eran de España.

    Al comprobar que había clientes de la empresa afectados, Cafepress notificó los hechos a la Agencia Española de Protección de Datos, que puso a la Subdirección General de Inspección de Datos a realizar unas actuaciones previas de investigación para el esclarecimiento de los hechos.

    Contraseñas, tarjetas de crédito...

    Uno de los problemas iniciales fue que tras recibir las notificaciones, algunas autoridades de control europeas se consideraron interesadas en el asunto. Pero otras, como la del Reino Unido, consideró que no había nada que investigar ya que Cafepress no cuenta con una sede física en la Unión Europea.

    En principio, sobre los datos robados a esta web de personalización de camisetas y puestos a la venta en la “dark web” la Agencia Española de Protección de Datos indica que “las categorías de datos afectados por la brecha son datos básicos y de contacto, datos identificativos como nombres de usuario y contraseñas y, solo en algunos casos, datos económico-financieros tales como información de tarjetas de crédito (cuatro últimos números y fecha de caducidad)”.

    Sí que hubo unos 15 afectados de la Unión Europea que vieron comprometidos datos más sensibles, como números de identificación fiscal o equivalentes, pero ninguno de ellos de España.

    La empresa cuyos datos fueron sustraídos recibió unas 80 solicitudes de información de afectados de la Unión Europea relacionadas con el caso, pero ninguna en la que se manifieste haber sufrido daños por el incidente. Y concluyó que “la probabilidad de que los afectados experimenten consecuencias significativas es neutral para las 15 personas cuyos identificadores fiscales se vieron comprometidos, e improbable para el resto”.

    Análisis forense

    En su resolución, la Agencia Española de Protección de Datos analiza las medidas adoptadas por Cafepress. Entre las barreras que tenía antes de la “brecha” señala que “constaban medidas de seguridad como Hashing para las contraseñas de los usuarios, segmentación de red, cifrado de credenciales en tránsito, política de claves robustas para empleados, firewalls perimetrales, controles de acceso físicos, formación anual en seguridad para los empleados, y protección con software antivirus. Existe otro grupo de medidas adicionales implementadas para mitigar riesgos relacionadas la mayoría con la migración a otros servidores en julio de 2019 de las tablas de registros de clientes”.

    Tras el robo de datos, Cafepress comunicó el suceso al Reino Unido (donde había una gran concentración de afectados) y al resto de las autoridades de control de la Unión Europea cuando determinó el número de afectados de cada país.

    Esta empresa estadounidense inició sus propios análisis, con expertos forenses externos. Éstos no pudieron confirmar realmente si la información de los clientes había sido obtenida de su base de datos, “ya que los logs que registran el tráfico en tiempo real no reflejan el incidente”.

    Ayuda del FBI

    Además, denunció los hechos y comenzó a cooperar con el FBI de Estados Unidos (el país de su sede), y notificó el problema a todos los afectados mediante correo electrónico.

    “En el presente caso, consta una quiebra de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una posible brecha de confidencialidad, como consecuencia del acceso indebido por terceros ajenos a la base de datos del sistema de información de Cafepress”, establece la Agencia Española de Protección de Datos.

    También concluye que la empresa “disponía de razonables medidas técnicas y organizativas preventivas a fin de evitar este tipo de incidencias y acordes con el nivel de riesgo”, así como de “protocolos de actuación para afrontar un incidente como el ahora analizado, lo que ha permitido de forma diligente la identificación, análisis y clasificación del supuesto incidente de seguridad de datos personales así como la diligente reacción ante la misma al objeto de notificar, minimizar el impacto e implementar nuevas medias razonables y oportunas para evitar que se repita la supuesta incidencia en el futuro a través de la puesta en marcha y ejecución efectiva de un plan de actuación”.

    Como recomendación, Protección de Datos pide a Cafepress que realice un informe final sobre el incidente, que supondría “una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de similares características como la analizada causada previsiblemente por un error puntual”.

    Al considerar que Cafepress no había infringido la normativa sobre protección de datos personales, la autoridad española ha terminado archivando las actuaciones sobre este robo de información que afectó a más de 17.000 españoles.

     

    not. 16.07.20

    #robodeinformacion  #usoinapropiadodeinformacion #ventadeinformacionprivada #AEPD #agenciaespañoladeprotecciondedatos #protecciondedatos

    Fuente: Elconfidencialdigital

  • Denuncian otra vez a Uber y Cabify ante la AEPD

    Uber y Cabify denunciadas (otra vez) ante la Agencia Española de Protección de Datos

    La asociación para la defensa del sector del Taxi,Taxi Project ha presentado una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra las empresasUber y Cabify. La organización ha presentado varios informes en los que estudian y analizan el tratamiento de datos por parte de estas dos empresas. Según dichas investigaciones, Uber y Cabify incumplen variasinfracciones en cuanto a la legislación de protección de datos, así como sobre otros ámbitos que afectan a los derechos de los consumidores, como puedan ser normas para los Servicios de la Sociedad de la Información y el Comercio Electrónico, legislación de Consumidores y Usuarios o sobre la sentencia del TJUE del 20 de diciembre de 2017 en el que se reconocía a Uber como un servicio de transporte.

    Según la organización de taxistas, los informes entregados a la Agencia demuestran que se incumplen sistemáticamente hasta ocho artículos diferentes entre normativas europeas y estatales sobre protección de datos. La excusa para eximirse de toda culpa, según explica Taxi Project, es seguir defendiendo que la empresa es un mero intermediario en el caso de Uber o una agencia de viajes en el caso de Cabify. Pero ya existe una sentencia del Tribunal de Justicia de la Unión Europea que especifica que prestan un servicio de transporte, por lo que se deben hacer responsables de las infracciones o los datos del consumidor cuando contrata sus servicios.

    No es la primera vez que una denuncia de este tipo llega a la AEPD. La asociación FACUA-Consumidores en Acción presentó una denuncia similar en 2019. La Agencia dictaminó que había “indicios racionales” sobre la posibilidad de que Uber esté incumpliendo el artículo 7 del Reglamento General de Protección de Datos (RGPD).

    Pero la ingeniería fiscal de Uber, que traslada todos sus beneficios en Europa a los Países Bajos, también le ha venido muy bien para esquivar la denuncia por parte de FACUA. La AEPD, tras anunciar que veía indicios de que se estuviera incumpliendo la ley, trasladó el caso a las autoridades holandesas, donde Uber tiene su sede, al entender que debe ser dicho país quien estudie y dictamine sobre este caso, aunque los afectados estén repartidos por toda la Unión Europea o la denuncia haya salido del Estado español.

    Denuncia UBER ante AEPD

    #agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #leyorganicadeprotecciondedatos #AEPD #denunciaUBER #facua

    Fuente: Elsaltodiario

  • Derecho al olvido, un derecho fundamental

    Derecho al olvido, un derecho fundamental

    Realmente no se llama derecho al olvido, si no derecho de supresión. Bajo ciertas condiciones tenemos derecho a suprimir enlaces que lleven a nuestros datos personales. De esta manera, estos datos no aparecerán si se busca nuestro nombre en Internet.

    El Tribunal de Justicia de la Unión Europea hizo pública una sentencia el 13 de mayo de 2014 en la que se reconocía este derecho. Sin embargo hay que tener en cuenta que esto no significa que podamos simplemente «eliminarnos de google». Hay una serie de condiciones de adecuación y pertinencia previstos en la sentencia. Por lo tanto, este derecho sólo lo podemos ejercer cuando la información que hay sobre nosotros sea obsoleta y carente de relevancia o interés público. Esto incluye información nuestro en boletines oficiales e informaciones amparadas en el derecho a la información y libertad de expresión.

    Pero, ¿ante quién acudir?

    Podemos ejercerlo ante la fuente original (un periódico, un boletín o un blog) o ante el buscador. Ambas fuentes utilizan tratamientos de datos y protocolos diferentes. Puede darse el caso, por lo tanto, que el editor de la fuente original no tenga por qué borrarlo pero sí el buscador. Esto se debe a que es la difusión universal la que tiene implicaciones en la privacidad.

    En el caso de tener que ejercerla ante el buscador, esto no significa que el artículo se tenga que eliminar ni que el editor tenga que desindexarlo. Simplemente significa que no aparecerán resultados al hacer la búsqueda del nombre del interesado. Es decir, que en caso de que la búsqueda que se haga sobre otro tema relacionado, puede aparecer el artículo con el nombre del interesado.

    Ejerciendo el derecho al olvido

    Desde hace cinco años de su existencia, sabemos que está pero no cómo ejercerla. Es imprescindible acudir a la entidad que gestiona dichos datos. Los buscadores tienen sus propios formularios (Google, Yahoo y Bing). En caso de que no se responda o la respuesta sea negativa, habría que abrir una reclamación ante la Agencia Española de Protección de Datos. La AEPD determinará si procede o no. En caso negativo, se puede apelar a los tribunales.

    Hay que tener en cuenta que en caso de tener cierta relevancia para el público, prevalece el derecho a la información. Esto significa que no siempre se puede ejercer derecho al olvido en casos concretos, ya que siempre se estudia caso por caso.

     

    derecho al olvido AEPD

    #agenciaespañoladeprotecciondedatos #protecciondedatos #derechoalolvido

    Fuente: medialabtoledo

  • Facebook mostrará a los usuarios los datos personales que cruza con otras webs

    Facebook mostrará a los usuarios los datos personales que cruza con otras webs

    Facebook ha presentado una nueva funcionalidad que permitirá a sus usuarios conocer qué datos estaba recibiendo la red social de otras páginas y apps a las que accedía el usuario desde fuera de su entorno. Es decir, conocer qué información recopila Facebook de sus usuarios cuando navegan por páginas que no tienen nada que ver con su actividad en la red social, un extremo que la empresa en el pasado había negado que realizara y que ahora solo admite sobre web con las que "tiene acuerdos".

    La implantación llega tras las multas de varios organismos europeos, entre ellas de la Agencia Española de Protección de Datos (AEPD), a la empresa de Mark Zuckerberg por realizar estos trasvases sin permiso. La recopilación fue demostrada por un estudio de la universidad de Lovaina, que extendía la recogida de datos de la red incluso a usuarios que no tenían cuenta en ella gracias al Facebook Login (un sistema para registrarte en una página usando la cuenta de Facebook) o el Social Sharing (compartir en redes sociales).

    La AEPD demostró que la red social recopilaba, almacenaba y utilizaba datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación con fines publicitarios directamente, mediante la interacción con sus servicios o desde páginas de terceros, "sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos, y ni siquiera los cancela de modo adecuado cuando un usuario se da de baja". 

    Ahora, bajo el epígrafe “Actividad fuera de Facebook”, la empresa de Mark Zuckerberg promete que el usuario podrá acceder a un resumen de las apps y web que envían información sobre su actividad y eliminar esta información de su cuenta, si quiere.

    Según la compañía, se trata de "ofrecer a las personas más transparencia y control en Facebook junto con nuevas actualizaciones en la biblioteca de anuncios, las actualizaciones en 'por qué veo este anuncio' y el lanzamiento de la nueva funcionalidad '¿por qué veo esta publicación?”. Esto es, según el propio Facebook, que si un usuario ha estado viendo anuncios de zapatos en una web, Facebook puede saber que le interesan los zapatos y enseñarle anuncios sobre ello.

    Implantación gradual

    Según la red social, esta recopilación permitirá que el usuario pueda "desconectar esta información de su cuenta" y elegir que Facebook no la recopile.  La funcionalidad, sin embargo, no será inmediata sino que comenzará a implantarse gradualmente a usuarios y por países. España estará entre los primeros, junto con Corea del Sur e Irlanda.

    La empresa asegura que esta nueva función se ha implantado por presión de usuarios y legisladores, y señala que han "realizado investigaciones durante meses para recibir opiniones y sugerencias de personas en Facebook, expertos en privacidad, legisladores, anunciantes y grupos del sector".  Y señala que han tenido que ir adaptando la herramienta.

    "Por ejemplo, cuando la función ya llevaba varios meses desarrollándose, nos pidieron una opción para desconectar la actividad futura en internet solo en empresas concretas, no necesariamente en todas a la vez. También escuchamos de expertos en privacidad que era importante tener la posibilidad de reconectar con aplicaciones o sitios webs especificos al mismo tiempo que mantenemos la actividad futura desconectada", afirman en un artículo firmado por dos directivos de la compañía, Erin Egan, directora de políticas de privacidad, y David Baser, director de gestión de productos.

     

    TTCS - Protección de datos - Facebook

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Elperiodico

  • INE rastreará millones de móviles españoles durante ocho días ¿Es legal o atenta contra la privacidad?

    INE rastreará millones de móviles españoles durante ocho días ¿Es legal o atenta contra la privacidad?

    El Instituto Nacional de Estadística (INE) realizará un estudio pionero sobre la movilidad de los ciudadanos españoles en diferentes periodos del año. Para ello, ha llegado a un acuerdo con las principales operadoras que trabajan en España,Vodafone, Movistar y Orange, que serán, bajo cobro de medio milllón de euros, las que facilitarán los datos de posicionamiento de los teléfonos móviles que tienen registrados. El programa está siendo muy comentado por las repercusiones en torno a la privacidad.

    INE es un organismo autónomo, pero oficial, encargado de la coordinación general de los servicios estadísticos de la Administración General del Estado y la vigilancia, control y supervisión de los procedimientos técnicos de los mismos. El objetivo del estudio es conocer los desplazamientos globales de población en España, para saber donde se deben reforzar las infraestructuras y servicios públicos por ejemplo en periodos vacacionales. Es decir, el objetivo será considerado de bien público.

    El rastreo (o «vigilancia» que dicen algunos críticos) de los móviles se producirá en fechas programadas de distintos periodos. Los días laborables del 18, 19, 20 y 21 noviembre de 2019; el 24 de noviembre (domingo); el festivo navideño 25 de diciembre y los días habituales de salida o regreso de vacaciones de verano, 20 de julio y 15 de agosto de 2020.

    Conviene recalcar que los datos facilitados por las operadoras al INE serán completamente anónimos y agregados, es decir,en ningún caso se podrá detallar el usuario al que pertenecen, ni ofrecerán otros datos personales, ni la ubicación concreta, sino que será un recuento de terminales en un lugar y en una hora determinada. Con estas premisas, la recopilación de datos y su traspaso al instituto no incumplirá la Ley de Protección de Datos, según el organismo.

    Para crear la estadística, INE dividirá el territorio nacional en 3.500 celdas de 5.000 habitantes y cada cierto tiempo se registrará cuánta gente hay conectada a una misma antena. Procesada la información, se podrá saber los flujos de los ciudadanos de una celda a otra y con ello conocer los movimientos vacacionales; los de ciudades dormitorios; los de barrios de las grandes urbes o la realidad de la «España vacía». Incluso ayudará en un futuro a diseñar redes de transporte de mayor capacidad.

    ¿Es legal? ¿Es anónimo? ¿Cuenta con todas las garantías?

    El informe es interesante. Pionero en Europa por la utilización del Big Data y mucho más barato que los realizados en el pasado mediante encuestas.

    Sin embargo, no escapa a la polémica de la privacidad. y a la capacidad de «Gran hermano» de un estudio que «vigilará» sí o sí a decenas de millones de ciudadanos. Las múltiples violaciones a un derecho fundamental han escamado a los usuarios que no se fían ni en casos como este con un objetivo de bien público y efectuado por un organismo oficial que se presupone realizará con todas las garantías, incluyendo el «secreto estadístico» y la completa eliminación de los datos recopilados una vez realizado el informe.

    Los datos son «oro» en la era del Big Data, la Inteligencia Artificial y el aprendizaje profundo y sería relativamente sencillo pasar de los datos «anónimos» a identificativos de cada ciudadano y utilizarlos para cualquier fin alejado del mencionado. Además, existe una «actividad comercial» por el pago del medio millón de euros del INE a las operadoras. Por si acaso, la Agencia Española de Protección de Datos ha solicitado al INE información sobre los protocolos establecidos con las operadoras para el procesamiento y traspaso-venta de los datos.

    Si no estás de acuerdo en ceder tus datos, recuerda que tu operadora debe ofrecerte la posibilidad de no cederlos en ningún caso e incluso aunque sean datos anonimizados. Revisa la configuración de privacidad de tu conexión.

     

    TTCS - INE rastreo moviles

    #agenciaespañoladeprotecciondedatos #protecciondedatos #rastreodemoviles #usofraudulentodedatos #proteccioneninternet #INE

    Fuente: Muyseguridad

  • Instalación de cámaras en plazas de garaje

    Instalación de cámaras en plazas de garaje

    En anteriores artículos hablábamos de la obligatoriedad de cumplir con la normativa en protección de datos por parte de las Comunidades de Propietarios y, en su caso, cuando se procede a la instalación de cámaras de videovigilancia y seguridad. Es decir, cuando las cámaras son instaladas en elementos comunes, pero, ¿Qué ocurre con las plazas de garaje?

    Hay que diferenciar varios supuestos. En primer lugar, si las plazas se encuentran cerradas, garantizando no grabar zonas comunes, ni a personas que pudieran acceder libremente, puesto que, si acceden violentando o forzando la entrada, cometerían un delito y la grabación estaría legitimada para la denuncia de los hechos. Y, en segundo lugar, si, por el contrario, al estar abiertas cabe la posibilidad de que por ellas transite o pueda acceder personas, las cuales podrían ser grabadas, independientemente de que hayan invadido una propiedad privada.

    En el primero de los supuestos, las plazas cerradas, se podría decir que la plaza de garaje es considerada una zona privativa, entendida como ámbito doméstico, lo cual, supone la eximente de aplicación del RGPD, por lo que no estaríamos obligados a cumplirlo, siempre y cando, se garantice no grabar zonas comunes, pasillo o carril de tránsito y circulación entre plazas, por ejemplo, cuando la persiana esté abierta.

    En el segundo de los supuestos, plazas abiertas, el cual es el supuesto más habitual, al limitarse actualmente el cerramiento de plazas de garaje, la colocación de videocámaras está sujeta a la autorización previa de la comunidad de propietarios (recordemos que se necesita el voto favorable de 3/5) y, además, estaríamos obligados al cumplimiento de la normativa en protección de datos, por lo que se deben de tener en cuenta las recomendaciones de la Agencia Española de Protección de Datos, AEPD:

    Si por tu plaza de garaje pueden pasar vecinos u otras personas -por ejemplo, el portero de la finca- aunque se trate de un espacio privado y tengas reservado su uso para tu vehículo, se considera un lugar de libre acceso y se aplican los requisitos recogidos en la Instrucción 1/2006 de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

    Pese a que tengas pensado instalar una videocámara dirigida exclusivamente a tu plaza de garaje es más que probable que captes, aunque sea tangencialmente, imágenes de espacios comunes o de las plazas colindantes, por lo que, en todo caso, deberás contar con el acuerdo de la comunidad de propietarios, recogido en acta, para poder efectuar dicha instalación.

    Debes informar mediante carteles ubicados en una zona visible de que la zona está siendo videovigilada (la Agencia tiene un modelo de cartel que puedes utilizar). En el cartel debe indicarse claramente la identidad del responsable de la instalación. También debes informar de ante quién pueden ejercer sus derechos los afectados y dónde pueden hacerlo.

    Las imágenes no se pueden conservar por más de un mes desde su captación. 

    Camaras de seguridad en garaje comunitario

    Fuente: Laregion

  • Intento de fraude por 'phishing' a los clientes de Correos Express

    Intento de fraude por 'phishing' a los clientes de Correos Express

    El Grupo de Delitos Telemáticos de la Guardia Civil (GDT) alerta de un fraude mediante phishing que intenta suplantar a Correos. A través de las redes sociales este departamento de la Benemérita, creado en 1996 y que investiga los delitos informáticos, se hace a su vez eco de una denuncia por parte de Correos Express.

    Según esta algunos clientes reciben por correo electrónico un mensaje que persigue suplantar la identidad del servicio. Asegura que su pedido ha sido recibido y «está listo para su entrega, pero no hemos podido confirmar la dirección». A continuación se pide al usuario que verifique la identidad y dirección de entrega clicando en un enlace. Ese paso es justo lo peligroso y lo que deben evitar aquellos que reciban este mensaje.

    Además, para presionar al cliente, se le dice que en caso contrario su paquete será remitido nuevamente al «enviador».

    El anglicismo phishing remite a una fórmula bastante común y no necesariamente muy compleja de estafa electrónica. Literalmente los ciberdelincuentes que la utilizan buscan pescar información sensible del usuario, como datos personales, contraseñas o números de cuenta bancarios para poder obtener un beneficio ilícito.

    Conllevan la instalación de programas dañinos para los terminales informáticos o teléfonos móviles que caen en sus garras, y es mediante un rastreo y seguimiento de esos dispositivos como se obtienen los datos útiles para sus espurios fines. Por tanto la recomendación de las autoridades para todos los que se encuentren con un mensaje sospechosos es borrarlo de inmediato, y jamás pinchar en los enlaces que contiene.

     

     

    TTCS Phishing Correo Express

     

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Ultimahora

     

     

  • La AEPD avisa, navegar de manera incógnita NO previene el seguimiento de los dispositivos

    La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), "proyectando una falsa sensación de seguridad".

    Así lo pone de manifiesto la Agencia en su estudio 'Fingerprinting o huella digital del dispositivo', donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

    La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar "de forma unívoca" dicho terminal. "Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma", añade

    En este sentido, advierte de que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.

    El informe publicado en febrero, el organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito, una opción con la que los usuarios "tienen la sensación de que su navegación es segura y no será rastreable".

     
    La AEPD explica en su informe que en esta opción el navegador no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, y al cerrar la ventana borra del equipo del usuario toda esta información.

    "Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado. Así pues, en este sentido, la navegación privada no es efectiva", destaca

    NI INFORMACIÓN NI CONSENTIMIENTO

    El informe concluye que "con mucha frecuencia" se emplean estas técnicas para recoger datos del equipo del usuario "sin ofrecerle información y sin solicitarle su consentimiento", y que el conjunto de datos recabados "puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos".

    Asimismo, el documento advierte de que, "en la mayoría de los casos", al usuario no se le proporcionan herramientas para poder evitar "de forma efectiva" la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

    En este contexto, el organismo que lidera Mar España aconseja que los usuarios utilicen la opción 'Do not track' del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales.

    En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

     

    Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

    En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

    "Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios", concluye.

    TTCS  agencia española de proteccion de datos

     

    #agenciaespañoladeprotecciondedatos #ttcsempresadeseguridad #protecciondedatos #leyorganicadeprotecciondedatos

    Fuente: Lavanguardia

    .

  • La AEPD insta a empresas proveedoras de Internet a proteger la privacidad de víctimas de violencia de género

    La Agencia Española de Protección de Datos (AEPD) ha instado a las grandes empresas proveedoras de servicios de Internet a la aprobación de protocolos específicos de actuación con el fin de evitar la utilización o difusión de imágenes personales en la red de víctimas de violencia de género sin su consentimiento.

    Esta es una de las medidas que figura en el Marco de Actuación de Responsabilidad Social 2019-2024 de la AEPD --elaborado con la colaboración de Pacto Mundial de Naciones Unidas y alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible-- que estructura el compromiso de este organismo en cuatro ejes: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medio Ambiente y Empleados.

     

    Dentro del apartado de Compromiso con la Sociedad, la Agencia ha establecido a su vez tres grandes áreas de trabajo: la igualdad de género, el fomento de la prevención, y la innovación y el emprendimiento.

     Así, respecto a la igualdad de género, se impulsarán protocolos con el Ministerio del Interior, la Fiscalía y la Delegación de Gobierno para la Violencia de Género, en el marco del Grupo de Trabajo sobre la privacidad de las víctimas de violencia en Internet, para que cuando acudan a una comisaría sean informadas de la posibilidad de dirigirse gratuitamente a la Agencia en caso de utilización o difusión de imágenes personales sin consentimiento.

    La AEPD dará prioridad a este tipo de reclamaciones, además de instar a las grandes empresas proveedoras de servicios de Internet a la aprobación de protocolos específicos de actuación, según ha destacado la institución.

     

    En el área de prevención, destaca la colaboración con Ministerio de Educación para elaborar materiales curriculares sobre educación digital y uso responsable de Internet, con especial atención a las situaciones de violencia en la Red. En este sentido, la AEPD recuerda que, en aplicación de la nueva Ley de Protección de Datos, las CC.AA. tienen de plazo hasta finales de año para incluir formación específica en el uso seguro de los medios digitales en los currículums académicos.

    También se colaborará con la Fiscalía para actuar frente a la difusión de imágenes o información personal de menores en Internet; se impulsarán protocolos contra el ciberacoso, en colaboración con el Ministerio de Educación; y se colaborará con la Policía Nacional en cursos sobre privacidad y seguridad.

     

    Además de alinear con la Agenda 2030 los premios que anualmente concede la Agencia, la AEPD ha anunciado que va lanzar una nueva categoría en la que se van a reconocer proyectos y actuaciones innovadoras y respetuosas con la privacidad en el marco de las iniciativas empresariales noveles y las startups. El premio tendrá la denominación 'Ángela Ruiz Robles', precursora española del libro electrónico.

    De otra parte, el Marco de Actuación recoge una apuesta firme por una política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público, lo que se va a traducir en la aprobación de un Código Ético y de Conducta para los empleados y directivos de la Agencia, y la implantación de un canal de denuncias anónimo, siempre con las debidas garantías en su aplicación.

     

    TTCS Agencia Española de Protección de Datos

     

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

     

    Fuente: Lavanguardia